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白皮书 CLOUDFLARE: 


Cloudflare Magic Transit 


既 保 访 网 路 ;又 近 升 效能 


Cloudflare Magic Transit 为 内 部 部 署 、 云 端 和 混合 网 路 提 
供 DDoS 保护 和 流量 加 速 。 垮 藉 明 何 200 个 城市 的 资料 中 
心 和 超过 51 Tbps 的 DDoS 缓解 容量 , Magic Transit 能 
在 接近 源头 的 位 置 侦 测 和 缓解 攻击 ,平均 用 时 不 足 3 秒 ;而 
且 还 附带 了 效能 方面 的 效益 。 


本 文 将 展示 对 我 们 网 路 执行 的 Catchpoint 测试 的 结果 ， ;以 
量化 Magic Transit 对 延 妈 的 影响 。 测 试 结果 表明 ; 当 流 量 
透 过 Cloudflare Magic Transit 路 由 时 ;测试 客户 的 网 路 
效能 ( 延 到 和 封包 遗失 ) 得 以 改善 具体 而 言 , 我 们 在 测试 
结果 中 发 现 , 流量 透 过 Magic Transit 路 由 时 延 逮 缩 短 了 

3 毫秒 ,封包 遗失 则 钱 乎 为 零 。 
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Cloudflare Magic Transit 如 何 做 到 在 不 影响 效能 的 前 提 下 
保护 网 路 基础 结构 ? 


在 Magic Transit 诈 生 之 前 , 保护 网 路 基础 结构 免 受 DDoS 攻击 的 策略 主要 有 两 种 : 内 部 部 署 硬 朵 DDoS 
防 访 设 和 雷 和 云端 清理 解决 方案 。 

在 一 定 程度 上 ， 内 部 部 署 硬 体 设备 可 以 妥善 地 保护 您 的 基 碘 结构 。 但 这 些 设备 的 频 均 有 限 可 能 会 被 规模 较 
大 或 同时 发 生 的 攻 列 压 垮 。 硬 体 还 需要 大 量 前 期 投资 区 耗 费 大 量 资源 来 管理 和 和 维护。 


云端 清理 中 心 应 运 而 生 , 提供 了 一 种 更 简单 的 替代 选择 : 使 流量 经 由 清理 中 心 进行 路 由 ,站 在 清理 中 心 节 选 
掉 攻 苘 流量。 这 解决 了 内 部 部 署 硬 体 引 起 的 财务 负担 和 维护 难题 。 


然而 这 也 造成 了 新 的 问题 :显著 的 延 妈 。 


由 於 这 些 云端 提供 者 的 清理 中 心 数 量 有 限 ,站 且 分 散 於 不 同 的 地 理 位 置 ,因此 流量 可 能 必须 传输 很 长 距离 进 
行 清理 ,然后 才能 到 迪 最 终 目 的 地 。 云 端 提供 者 通常 只 有 屈指 可 数 的 清理 中 心 , 如 果 您 或 最 终 使 用 者 与 所 有 
清理 中 心 都 相隔 甚 达 ,即使 最 终 目 的 地 就 在 附近 , 流量 也 必须 传输 很 长 一 段 距离 。 这 是 所 谓 的 长 号 效应 ， 通 
常会 引起 明显 且 懂 人 的 延至 。( 之 所 以 称 为 【长 号 效应 」 ,是 因为 如 果 您 在 地 图 上 标 出 路 途 较 长 的 往返 路 线 ， 
就 能 看 到 这 人 条 路 线 的 形状 很 像 长 号 ) 。 


额外 网 路 趴 点 
第 7 层 服务 
增加 延 晃 (WAF、CDN 等 ) 
Ts 攻 基 流量 


集中 式 DDoS 
清理 中 心 


/清理 中 心 距 记 大 、 数 量 少 , 事 靖 用 认 和 缓解 DDoS 。 芝 需要 移 路 流量 候 夫 到 储 用 赣 料 由 心 :以 进行 额外 的 L4-7 处 理 ,村 致 更 多 的 延 逻 。 
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假设 在 上 述 情境 中 ; 您 需要 在 第 3-4 属 以 及 第 7 层 服务 (例如 WAF 和 Bot Management 等 ) 中 处 理 流 

量 。-- 这 时 ， 您 的 流量 首先 到 达 这 下 的 L3 清理 中 心 在 L3 内 缓解 DDoS ， 然 后 传送 到 辅助 资料 中 心 以 进行 其 
他 L7 不 理 ; 这 对 点 对 点 流量 增添 了 网 路 蹈 点 , 增加 了 不 必要 的 延 束 。 如 果 云 端 供 应 商 的 清理 中 心 数量 有 限 ， 
瘟 且 与 网 路 流量 的 源头 相距 很 带 ; 那 庶 延 滩 就 会 特别 明显 。 

Magic Transit 带 来 了 更 好 的 解决 方案 。 我 们 不 使 用 专门 的 清理 中 心 ; 而 是 让 Cloudflare 全 球 网 路 中 的 每 个 
资料 中 心 都 能 处 理 清理 工作 。 实 际 上 ;每 个 Cloudflare 资料 中 心 都 执行 完整 的 Cloudflare 服务 堆 曙 。 这 样 
一 来 ,您 的 流量 只 需 传 到 最 近 的 Cloudflare 凌 料 中 心 便 可 ;我们 在 100 多 个 国家 /地 区 的 200 多 个 城市 设 


立 了 凌 料 中 心 ， 因 此 距 郊 有 可 能 会 很 近 。 


DDoS 攻击 


BGP 
GRE Tunnel 
(或 PND) 


Argo 
(smart routing) 


Cloudflare 
Global Anycast Network 客户 网 路 


连 出 (伺服 器 直接 回 传 ) 


每 个 Cloudflare 次 料 中 心 款 行 L3-7 服务 的 完整 堆 卉 ,因此 纲 路 流量 可 在 同一 伺 置 进行 处 理 。 


这 表示 没有 长 号 效应 ， 延 束 也 很 短 。 网 路 效能 是 我 们 开发 Magic Transit 的 首要 顾虑 事项 ; 我 们 想 确 保 使 
用 者 不 必 为 了 安全 性 而 牧 牧 效能。 
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Catchpoint 测试 


为 了 验证 这 一 点 ,我们 使 用 Catchpoint 进行 了 一 些 测试 ;以 判断 使 用 Magic Transit 对 整体 网 路 效能 的 影 

变 。 透 过 全 域 效 发 探 针 , 我们 对 位 於 Magic Transit 后 方 的 IP 位 址 和 不 用 Magic Transit 的 另 一 个 位 址 执 

行 ICMP ping 测试 ,这 两 个 位 址 都 旗 管 在 同一 网 路 基 础 结构 上 。 这 样 ， 我 们 能 锡 同 时 测量 延 束 、 封 包 遗 失 和 
抖动 , 以 查看 效能 差 轴 。 


"0 PT TO TRE TN help taba 


07/114 17:45 07/18 12:00 07/22 06:15 07/26 00:30 07/29 18:45 08/02 13:00 08/06 07:15 08/10 01:30 


使 用 Magic Transit ( 蓝 色 ) 和 不 用 Magic Transit (灰色 ) 时 的 延 姻 (ping 往返 ) 效能 (毫秒 
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使 用 Magic Transit ( 蓝 色 ) 和 不 用 Magic Transit (灰色 ) 时 的 幸 动 效能 (毫秒 
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使 用 Magic Transit ( 蓝 色 ) 和 不 用 Magic Transit (灰色 ) 时 的 封包 壮 失 效能 (百分比 ) 


在 上 述 测试 中 , 蓝 线 代表 使 用 Magic Transit 时 的 效能 ; 灰 线 则 代表 不 用 Magic Transit 时 的 效能 。 
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测试 结果 


效能 使 用 Magic Transit ( 蓝 色 ) 不 用 Magic Transit (灰色 ) 
延 怖 28.96 毫秒 31.98 毫秒 

抖动 28.96 毫秒 28.96 毫秒 

封包 遗失 0.52% 5.26% 


和 从 这 些 测试 中 得 出 的 重要 结论 

。 使 用 Magic Transit 时 延 珠 缩短 了 3 毫秒 

。 使 用 Magic Transit 时 抖动 增加 了 0.36 毫秒 

。 使 用 Magic Transit 时 封包 遗失 线 乎 为 零 (0.52%) 而 不 用 Magic Transit 时 则 为 5.26% 


这 些 结 果 代 表 什么 ? 

延至: 延 珠 是 封包 从 网 路 上 的 一 个 点 传输 到 另 一 点 所 花费 的 时 间 。 在 我 们 的 测试 中 我 们 观察 到 Cloudflare 
网 路 的 延 束 较 低 。 

Cloudflare 根据 不 同 网 路 路 径 的 状态 不 断 最 佳 化 流量 路 由 ， 因此 封包 从 Cloudflare 到 客户 网 路 的 传 出 路 径 
效率 通常 高 於 那些 未 经 Cloudflare 最 佳 化 的 封包 。 

这 可 确保 网 路 延 束 不 会 延长 而 且 如 我 们 的 测试 结果 所 示 ;许多 情形 中 甚至 可 以 缩短 。 这 对 於 对 延 逮 敏 威 
(即时 ) 的 应 用 程式 尤为 重要 ;例如 线 上 复 戏 和 IP 语音 (VolP) 服务 。 

拌 动 :网 路 拌 动 是 指 网 路 上 封包 传授 之 问 的 延 逮 量 。 沽 少 拌 动 对 於 VolP 等 应 用 程式 尤其 重要 。 使 用 Magic 
Transit 时 ， 拌 动 增加 了 0.36 毫秒 。 即 使 对 拌 动 敏感 的 应 用 程式 ;这 也 可 以 忽略 不 计 。 

封包 遗失 : 网 路 传输 中 若 有 一 个 或 多 个 封包 未 能 到 过 目的 地 , 就 会 发 生 封 包 遗 失 。 根 据 具 删 的 通讯 协定 ， 考 
包 遗 失 可 能 需要 花费 额外 时 间 来 重新 传输 ,或 者 导致 品质 下 降 。 对 於 像 视讯 会 议 这 样 对 时 间 极 为 敏感 的 传 
输 ;封包 遗失 率 低 於 1% 被 认为 可 以 接受 * 。 在 我 们 的 测试 中 , 我们 观察 到 Cloudflare 网 路 上 的 封包 遗失 率 
伙 乎 降 到 了 零 ( 相 比 之 下 ;不 用 Magic Transit 时 的 封包 遗失 率 超 过 了 5%) 

总 之 , Magic Transit 对 延 妈 、 拌 动 和 封包 遗失 的 影响 不 会 损害 使 用 者 体验 ; 而 且 在 许多 情况 下 甚至 示 能 


此 外 :Cloudflare Magic Transit 可 与 Cloudflare 的 所 有 安全 性 、 效 能 和 可 靠 性 产品 整合 ,进一步 最 佳 化 网 
际 网 路 设备 的 效能 。 


若 要 脐 解 有 关 Cloudflare Magic Transit 的 更 多 资讯 请 浏览 www.cloudflare.com/madgic-transit 或 透 过 
以 下 地 址 联络 我 们 : sales@cloudflare.com 


*https://web.archive.org/web/20131010010244/http://sdu.ictp.it/pinger/pinger.html 
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